ISO 45001 - Bestimmung rechtlicher Verpflichtungen und anderer Anforderungen

SGA-Rechtssicherheit: Bewertung der Compliance spürt Lücken auf

Die Einhaltung rechtlicher Verpflichtungen ist eine absolute Grundbedingung für seriöses und dauerhaft erfolgreiches Wirtschaften. Dies gilt auch für jede Art von Verpflichtung, die ein Unternehmen jenseits rechtlicher Zwänge eingegangen ist. Die Voraussetzung dafür ist die Identifizierung all dieser Verpflichtungen und eine konsequente Bewertung der Compliance. ISO 45001 konzentriert sich dabei auf Themen, die für Sicherheit und Gesundheit bei der Arbeit (SGA) relevant sind.

ISO 45001 fordert in Kapitel 6.1.3 von einem Unternehmen, Prozesse festzulegen, umzusetzen und aufrechtzuerhalten, und zwar zur

  • Bestimmung aller rechtlichen Verpflichtungen und anderen Anforderungen mit Blick auf Gefährdungen, SGA-Risiken und das SGA-Managementsystem
  • Bestimmung ihrer Anwendung im Unternehmen und des daraus resultierenden Kommunikationsbedarfes
  • Berücksichtigung bei der Festlegung, Verwirklichung, Aufrechterhaltung und fortlaufenden Verbesserung des SGA-Managementsytems

Das Kapitel schließt mit der Anforderung nach dokumentierter Information über die rechtlichen Verpflichtungen und anderen Anforderungen. Diese Dokumentation muss aufrechterhalten, aufbewahrt und - um eventuelle Änderungen zu verdeutlichen - aktualisiert werden.

Nur SGA-relevante Verpflichtungen bestimmen

In Kapitel 6.1.3 geht es explizit um die Bestimmung SGA-relevanter Verpflichtungen etc., während in Kapitel 9.1.2 "Bewertung der Compliance" und an anderen Stellen der Norm (z.B. in O.3 "Erfolgsfaktoren") ganz allgemein von "Compliance" die Rede ist. Auf den ersten Blick also auch hinsichtlich solcher Themen, die nicht SGA-relevant sind - und die gibt es bekanntlich in Hülle und Fülle. Dass sich die Bewertung der Compliance aber tatsächlich nur auf SGA-relevante Verpflichtungen etc. bezieht, geht aus einem knappen (Rück-)Verweis in Kapitel 9.1.2 auf Kapitel 6.1.3 hervor.

Es ist also nicht zu erwarten, dass in einem reinen SGA-Audit auch die Bewertung der Compliance mit anderen Verpflichtungen thematisiert wird. Gleichwohl: Mit Blick auf ein integriertes Managementsystem bzw. die von ISO 45001 angeforderte Integration aller SGA-Themen in die allgemeinen Geschäftsprozesse ist es ohnehin notwendig, umfassende Compliance sicherzustellen.

Mögliche Beispiele liefert der Anhang

Beispiele für SGA-relevante rechtliche Verpflichtungen und andere Anforderungen finden sich im Anhang von ISO 45001 unter A.6.1.3. Rechtliche Verpflichtungen können u. a. sein: Gesetze und Verordnungen, Richtlinien, behördliche Auflagen, Genehmigungen, Lizenzen, Verwaltungserlasse, Abkommen oder Tarifverträge. Unter anderen Anforderungen ist z. B. Folgendes zu verstehen: Anforderungen eines Unternehmens an sich selbst, Vertragsbedingungen, Regelungen aus Arbeitsverträgen, Betriebsvereinbarungen, Vereinbarungen mit interessierten Parteien (z. B. mit Gesundheitsbehörden), nichtbehördliche bzw. vereinbarte Normen, allgemeine Verfahrensregeln, technische Spezifikationen und Selbstverpflichtungen.

Bewertung der Compliance

Alle Compliance-Verpflichtungen müssen regelmäßig bewertet werden. Dies erlaubt es der Organisation, ihre Compliance-Verpflichtungen zu erfüllen und mögliche rechtliche Schritte oder Klagen ihrer interessierten Parteien zu minimieren. ISO 45001 fordert dazu in Kapitel 9.1.2 die Festlegung, Umsetzung und Aufrechterhaltung von Prozessen zur Bewertung der Compliance der gemäß Kapitel 6.1.3 bestimmten rechtlichen Verpflichtungen und anderen Anforderungen eines Unternehmens. Dazu müssen die Häufigkeit der Compliance-Bewertungen und die dafür angewandten Methoden

bestimmt sowie die Compliance bewertet werden. Bei Bedarf sind entsprechende Maßnahmen zu ergreifen. Die zum Compliance-Status gewonnenen Erkenntnisse müssen aufrechterhalten werden und dokumentierte Information über die Ergebnisse der Bewertung muss aufbewahrt werden. Als Anhaltspunkt für die Häufigkeit bzw. den Zeitpunkt von Compliance-Bewertungen können u.a. folgende Kriterien herangezogen werden: Je wichtiger eine Verpflichtung resp. Anforderung ist, desto häufiger sollte eine Bewertung stattfinden. Ändern sich die Betriebsbedingungen oder relevante Verpflichtungen, bedarf es einer erneuten Bewertung. Dies kann auch der Fall sein, wenn eine Abweichung von der SGA-Leistung absehbar oder möglich ist.

Hat ein Unternehmen seine SGA-relevanten rechtlichen Verpflichtungen und anderen Anforderungen einmal vollumfänglich bestimmt, bewertet und ggf. entsprechende Korrekturmaßnahmen ergriffen, reicht eine turnusmäßige Bewertung zur Aktualisierung des Compliance-Status in der Regel aus. Diese Bewertung kann durch Überwachen, Messen, Analysieren und Überprüfen der Unternehmensleistung gegen bestehende Verpflichtungen erfolgen, dies z. B. anhand von Ergebnissen aus internen und externen Audits. Welche Methoden zur Compliance-Bewertung und zum Verständnis über den Compliance-Status angewendet werden, entscheidet jedes Unternehmen für sich.

Was tun bei Nicht-Compliance?

Sollte bei der Bewertung eine Nicht-Compliance aufgedeckt werden, bedarf es zur Korrektur geeigneter Maßnahmen, möglichst unter Anwendung des von ISO 45001 geforderten Prozesses zum Umgang mit Nichtkonformitäten bzw. Korrekturmaßnahmen (Kap. 10.2). Im Einzelfall besteht evtl. Kommunikationsbedarf mit der Stelle, von der die Einhaltung der Verpflichtung verlangt wird, z. B. einer Behörde. Gegebenenfalls bedarf es auch weiterer Vereinbarungen, deren Inhalt sich auf konkrete Maßnahmen beziehen sollte.

Fazit

Die Einhaltung rechtlicher Verpflichtungen ist eine zentrale Anforderung von ISO 45001. Die SGA-Norm versteht sich selbst jedoch nicht als „Norm, die den betrieblichen Arbeitsschutz regelt“, wie es in ihrem Vorwort heißt. Sie versteht sich als „Managementsystemnorm, die (ggf. zusammen mit anderen ISO-Managementsystemnormen) in die betriebliche Praxis integriert werden kann“. Die Norm-Autoren verweisen in diesem Zusammenhang darauf, dass der betriebliche Arbeitsschutz „in europäischen und nationalen Regelungen, Gesetzen und/oder Verordnungen sowie dem Regelwerk der gesetzlichen  Unfallversicherungsträger festgelegt“ ist, und dass ISO 45001 insofern nur eine „ergänzende Rolle“ zukommt. Damit wird sie dem Umstand gerecht, dass die nationalen Arbeitsschutzgesetze im weltweiten Vergleich durchaus von unterschiedlicher Statur sind.
 

Was heißt eigentlich Compliance?

Compliance ist ein englisches/französisches Wort mit lateinischen Wurzeln (complere = auffüllen erfüllen). Compliance hat heute zwar – je nach Branche oder Fachgebiet – recht unterschiedliche Bedeutungen, eine gewisse Sinnverwandtschaft bleibt dabei jedoch stets erhalten. In der Medizin z. B. bedeutet Compliance in erster Linie „Kooperation eines Patienten mit seinem Arzt“. Eine weitere Bedeutung ist „Dehnbarkeit von Gewebe“ – wenn man so will ein Hinweis darauf, dass es bisweilen einer gewissen Anstrengung und Flexibilität bedarf, „etwas“ tatsächlich vollumfänglich einzuhalten. Womit wir bei der für unser Thema relevanten Bedeutung von Compliance wären: „Regeltreue“ oder auch „Regelkonformität“, was im betriebswirtschaftlich-rechtlichen Kontext die allgemein übliche Übersetzung des Wortes ins Deutsche ist. Was versteht die SGA-Norm unter Compliance? ISO 45001 selbst liefert keine Definition für das Wort und übersetzt es zumindest im Anforderungsteil nicht. Allerdings existiert eine Stelle im Anhang der Norm, an der Compliance schließlich doch noch eine deutsche Übersetzung erfährt: Unter A.7.2 „Kompetenz“ wird die Fügung „compliance and noncompliance“ ins Deutsche übertragen, und zwar für Normverhältnisse ungewöhnlich knapp mit „Einhaltung und Nichteinhaltung von Verpflichtungen“. In ganzer Ausführlichkeit sollte Compliance aber, um die korrekte Auslegung der Anforderungen der SGA-Norm sicherzustellen, als „Einhaltung rechtlicher Verpflichtungen und anderer Anforderungen“ aufgefasst werden. Denn genau darum geht es in den beiden relevanten Kapiteln 6.1.3 und 9.1.2: Bestimmung rechtlicher Verpflichtungen und anderer Anforderungen mit der Bewertung, ob bzw. in welchem Maß sie eingehalten werden.

Andreas Ritter
DQS-Experte
arbeitsschutz(at)dqs.de